Basisovereenkomst SVR – Vrijgevestigde zorgaanbieder Versie 20160801-01

Partijen:

1. De Stichting Vrijgevestigden ROM, gevestigd te Utrecht aan de Arthur van Schendelstraat 650 (3511 MJ), hierna te noemen: ‘SVR’,

2. De contracterende partij door registratie op het Klantenportaal van de SVR, hierna te noemen ‘Vrijgevestigde zorgaanbieder’,

hierna ook gezamenlijk te noemen: ‘Partijen’,

Overwegende

a) dat SVR is opgericht om Vrijgevestigde zorgaanbieders in de geestelijke gezondheidszorg te ondersteunen bij de aanlevering van de landelijke ROM gegevens van de generalistische Basis GGZ en gespecialiseerde GGZ aan de Stichting Benchmark GGZ (SBG);

b) dat de SBG tot doel heeft als onafhankelijke partij de geestelijke gezondheidszorg (GGZ) te benchmarken en voor de GGZ belangrijke informatie te ontsluiten over behandeluitkomsten en patiëntervaringen;

c) dat het aanleveren van de voornoemde gegevens aan SBG voor Vrijgevestigde zorgaanbieder een verplichting is op grond van de contracten tussen Vrijgevestigde zorgaanbieder en zorgverzekeraars en/of het model-Kwaliteitsstatuut GGZ en dat er sancties staan op het niet nakomen van die verplichting;

d) dat Partijen in onderhavige overeenkomst afspraken xxxxxx vast te leggen over de ondersteuning door SVR van Vrijgevestigde zorgaanbieder ter zake de aanlevering van voornoemde informatie aan SBG;

e) dat Partijen zich in dat kader bewust zijn van het feit dat bij deze samenwerking persoonsgegevens verwerkt worden en in deze overeenkomst afspraken worden gemaakt voor de naleving van de verplichtingen ingevolge de Wet Bescherming Persoonsgegevens.

verklaren te zijn overeengekomen:

Artikel 1. Doelstelling Overeenkomst

Vrijgevestigde zorgaanbieder geeft opdracht aan SVR tot het mogelijk maken van het aanleveren van ROM- en EPD gegevens van de vrijgevestigde Zorgaanbieders aan SBG, zodat SBG deze gegevens op een wettelijk toegestane wijze kan analyseren en daarover met derden communiceren. Deze opdracht omvat mede de realisatie van de voor deze aanlevering benodigde (digitale) infrastructuur.

Vrijgevestigde zorgaanbieder voldoet door deze aanlevering aan de onder c genoemde verplichting in de overwegingen van deze overeenkomst.

Artikel 2. Definities

a) Aanvullende informatie: Informatie die niet onder de standaard SBG-informatie valt en die Vrijgevestigde zorgaanbieders kunnen afnemen bij SBG.

b) BRaM: De Benchmark Rapportage Module van SBG. BRaM biedt inzage in de resultaten van de analyse van de TTP-data door SBG. BRaM kan door Gebruikers alleen geraadpleegd worden door middel van een geautoriseerd en aan BRaM gekoppeld VECOZO-certificaat. BRaM omvat eveneens het toepassingsprogramma (applicatieprogrammatuur) en de bijbehorende procedures, handleidingen en informatie.

c) Database: een digitaal opgeslagen archief, ingericht met het oog op flexibele raadpleging en gebruik.

d) Dataprotocol: Het protocol, van tijd tot tijd vastgesteld door het bestuur van SBG, behorende

bij het verstrekken van Ruwe Data en/of overige informatie door Vrijgevestigde Zorgaanbieder aan ZorgTTP ten behoeve van het gebruik en doelstellingen van de SBG- informatie en de Diensten.

e) Gebruikers: Elke partij die gebruik maakt van de SBG-informatie en/of de Diensten van SBG.

f) Gegevensmakelaar: SBG, die voor alle (Vrijgevestigde) zorgaanbieders (wettelijke verplichte) indicatoren en/of informatie uitlevert aan geautoriseerde partijen, waaronder het uitleveren van prestatie-indicatoren aan Zorginstituut Nederland.

g) Diensten van SBG: alle diensten van SBG, waaronder die in haar rol als Gegevensmakelaar, bestemd voor Gebruikers en geautoriseerde partijen. Hierin zijn (niet uitsluitend) begrepen: BRaM, SBG Benchmark-, Argus, DBBC-rapportages en overige (wettelijke) informatieverstrekking.

h) InfinitCare: door SVR gecontracteerde partij die ROM- en EPD gegevens van Vrijgevestigde zorgaanbieder verwerkt voor levering aan SBG.

i) Klantenportaal: het klantenportaal van SVR waar de overeenkomsten tussen Vrijgevestigde Zorgaanbieder en SVR ter accordering op staan en ook daarna raadpleegbaar blijven, alsmede het Dataprotocol en de Minimale Dataset.

j) Minimale Dataset: De beschrijving van het geheel van data, processen en de daarvoor noodzakelijke procedures die minimaal noodzakelijk zijn om de SBG-informatie te ontwikkelen. Vrijgevestigde zorgaanbieder kan dit document raadplegen via het Klantenportaal.

k) Ruwe Data: Alle gespecificeerde data conform de Minimale Dataset die Vrijgevestigde zorgaanbieder aanlevert bij ZorgTTP, welke ZorgTTP in opdracht van een door SVR te contracteren derde partij zal verwerken tot TTP-data.

l) SBG-informatie: De informatie over behandeluitkomsten en andere resultaten over Vrijgevestigde Zorgaanbieders die na analyse van de TTP-data ter beschikking wordt gesteld aan Gebruikers. Deze SBG-informatie wordt door SBG ontwikkeld, geanalyseerd en beheerd. Onder SBG-informatie vallen eveneens de applicaties, procedures, documentatie en handleidingen van SBG.

m) TTP-data: Ruwe Data van Vrijgevestigde zorgaanbieder, welke door ZorgTTP meervoudig is gepseudonimiseerd en in opdracht van een door SVR te contracteren derde partij aan SBG wordt verstrekt ten behoeve van het ontwikkelen van SBG-informatie.

n) Vertrouwelijke informatie: Alle vertrouwelijke en bedrijfseigen informatie over Vrijgevestigde zorgaanbieder, SVR, Gebruikers, SBG, inclusief SBG-informatie, documenten en handleidingen van SBG die in het kader van onderhavige overeenkomst beschikbaar worden gesteld.

o) Vrijgevestigde Zorgaanbieder: zorgaanbieder zoals omschreven in sectie II van het Kwaliteitsstatuut GGZ.

p) ZorgTTP: partij die er zorg voor draagt dat de ROM- en EPD gegevens van Vrijgevestigde zorgaanbieder meervoudig gepseudonimiseerd aan SBG worden toegezonden.

Artikel 3. Verplichtingen SVR

1. SVR draagt er in opdracht van Vrijgevestigde zorgaanbieder zorg voor dat er een infrastructuur wordt gebouwd en beheerd, waarmee de aanlevering van ROM- en EPD gegevens van Vrijgevestigde zorgaanbieder aan SBG wordt gefaciliteerd.

2. Het is SVR ter uitvoering van de in het voorgaande artikellid genoemde opdracht toegestaan een derde partij te contracteren welke deze infrastructuur feitelijk zal bouwen en beheren. SVR draagt er alsdan zorg voor dat zij een duidelijke handleiding van deze partij ontvangt voor de wijze waarop de EPD- en ROM gegevens door Vrijgevestigde zorgaanbieder aangeleverd moet worden aan SBG. SVR stelt deze handleiding indien gewenst ter beschikking aan Vrijgevestigde zorgaanbieder. SVR draagt er tevens zorg voor dat deze derde partij voorlichting en ondersteuning aan (de softwareleveranciers van) Vrijgevestigde zorgaanbieder verleent bij het aanleveren van alle aan te leveren gegevens.

3. Het is SVR ter uitvoering van de in het voorgaande artikellid genoemde opdracht toegestaan de in het voorgaande artikellid genoemde derde partij de verplichting op te leggen om een contract met ZorgTTP te sluiten ten behoeve van de aanlevering van de PVM-module (software module voor veilig transport en pseudonimiseren van de gegevens) door ZorgTTP

aan (softwareleveranciers van) Vrijgevestigde zorgaanbieder, waardoor de EPD- en ROM gegevens van Vrijgevestigde zorgaanbieder meervoudig gepseudonimiseerd aan SBG worden toegezonden.

4. SVR sluit zich in opdracht van Vrijgevestigde zorgaanbieder aan bij SBG, door middel van het accepteren van de “SBG Aansluitvoorwaarden SVR”. In deze aansluitvoorwaarden staan tevens verplichtingen voor Vrijgevestigde zorgaanbieder, welke in het volgende artikel zijn neergelegd.

5. Indien Vrijgevestigde zorgaanbieder aan SVR te kennen geeft Xxxxxxxxxxx informatie te willen ontvangen van SBG en bereid is daartoe meer (gedetailleerde) Ruwe Data via ZorgTTP aan SBG te leveren, zal SVR met SBG in overleg treden over de voorwaarden daarvan, waaronder begrepen de vergoeding. SVR zal alsdan met SBG in ieder geval de voorwaarde overeen komen dat SBG deze Aanvullende informatie niet zal delen met Zorgverzekeraars of andere partijen, tenzij Vrijgevestigde zorgaanbieder dit uitdrukkelijk heeft goedgekeurd.

6. SVR draagt er zorg voor dat de in dit artikel genoemde derde partij welke de infrastructuur feitelijk zal realiseren en beheren, de door haar ontvangen gegevens in het kader van de uitvoering van onderhavige overeenkomst niet langer zal bewaren dan 3 jaar, behoudens eventuele eisen die een financier hieraan in de toekomst kan stellen. Daarbij wordt nadrukkelijk niet de bewaartermijn zoals vastgelegd in de regeling van de geneeskundige behandelingsovereenkomst in het Burgerlijk Wetboek (Wgbo) in acht genomen.

7. SVR sluit met alle individuele Vrijgevestigde Zorgaanbieders een afzonderlijke bewerkersovereenkomst die de privacy waarborgt van de persoonsgegevens die in opdracht van de Individuele Vrijgevestigde Zorgaanbieders verwerkt worden. SVR draagt er ook zorg voor dat door haar in te schakelen sub(sub)bewerkers steeds alle geldende (Europese) wet- en regelgeving en contractueel gemaakte afspraken met betrekking tot privacy, persoonsgegevens en de beveiliging daarvan, in acht nemen.

Artikel 4 – Aanleveren informatie

1. Vrijgevestigde zorgaanbieder levert bij voorkeur 30 dagen nadat een Rommeting bij een cliënt is afgenomen, alle relevante Ruwe Data elektronisch, via een beveiligde omgeving, aan ZorgTTP via de PVM-module van ZorgTTP. Deze PVM-module wordt door ZorgTTP aan (de softwareleverancier(s) van) Vrijgevestigde zorgaanbieder ter beschikking gesteld.

2. Vrijgevestigde zorgaanbieder neemt voor de in het voorgaande artikellid genoemde levering het Dataprotocol en de Minimale Dataset van SBG in acht. Beide documenten zijn door Vrijgevestigde zorgaanbieder raadpleegbaar in het Klantenportaal.

3. Conform het Dataprotocol verschaft Vrijgevestigde zorgaanbieder inzicht in het aantal DBC’s om een getrouw beeld te geven van de behandeluitkomsten.

4. Vrijgevestigde zorgaanbieder stelt overige informatie die geen persoonsgegevens bevat en welke benodigd is in het kader van de SBG-informatie en de Diensten van SBG via SVR aan SBG ter beschikking.

5. Vrijgevestigde zorgaanbieder voert controle uit op haar Ruwe Data, of laat controle daarop door een onafhankelijke partij uitvoeren, waarbij eventuele discrepantie tussen de Ruwe Data, de Minimale Dataset en de TTP-data wordt beoordeeld. Vrijgevestigde zorgaanbieder draagt zelf de eigen kosten en bijkomen kosten die het uitvoeren van deze controles met zich meebrengen.

Artikel 5. Gebruik Vertrouwelijke Informatie, SBG-informatie en Diensten SBG

1. Vrijgevestigde zorgaanbieder ontvangt tijdig van SBG alle procedures, handleidingen en wachtwoorden om gebruik te kunnen maken van de SBG-informatie en de Diensten. Toegang tot BRaM wordt door SBG verschaft in een beveiligde omgeving die qua beveiligingseisen voldoet aan de stand van de techniek.

2. Vrijgevestigde zorgaanbieder heeft slechts toegang tot de voor haar in het Dataprotocol vastgestelde relevante SBG-informatie.

3. Vrijgevestigde zorgaanbieder is ermee bekend dat SBG conform het Dataprotocol aan de aldaar genoemde (rechts)personen (waaronder Zorgverzekeraars en Derden) SBG-informatie verstrekt. SBG zal in de Aansluitvoorwaarden voor Zorgverzekeraars en Derden inzake SBG- informatie regelen dat deze (rechts)personen de SBG-informatie alleen ten behoeve van haar

eigen doelstellingen mogen gebruiken en nimmer mogen verstrekken aan andere partijen, tenzij en voor zover uitdrukkelijk anders bepaald in het Dataprotocol.

4. Vrijgevestigde zorgaanbieder is er eveneens mee bekend dat SBG-informatie, met

inachtneming van de in het Dataprotocol vastgestelde voorwaarden, periodiek wordt geëxporteerd naar Vektis C.V. in haar hoedanigheid van centraal datacenter en dienstverlener van de Nederlandse Zorgverzekeraars, mits Vektis C.V. overeenkomstige voorwaarden aanvaardt jegens SBG.

5. Het is mogelijk met BRaM resultaten op te vragen voor homogene subgroepen van patiënten met een vergelijkbaar DBC-traject, met een vergelijkbare aandoening of met vergelijkbare achtergrondvariabelen.

6. Vrijgevestigde zal de Vertrouwelijke Informatie niet anders gebruiken dan conform deze overeenkomst.

7. Vrijgevestigde zorgaanbieder mag zonder voorafgaande schriftelijke toestemming van SBG geen enkel deel van de Vertrouwelijke Informatie doorgeven of openbaar maken, behalve aan:

a. de medewerkers van Vrijgevestigde zorgaanbieder waarvan bij SBG bekend is dan wel aangetoond kan worden dat zij betrokken zijn bij het gebruik van de procedures, documenten en handleidingen, in zoverre zij daarvan kennis dienen te dragen, en

b. de accountants en zakelijke adviseurs van Vrijgevestigde zorgaanbieder en alle andere personen of instanties die wettelijk zijn gerechtigd om toegang te krijgen tot of kennis te nemen van de procedures, documenten en handleidingen in verband met de (ondernemings)activiteiten van Vrijgevestigde zorgaanbieder.

Artikel 6 – Intellectuele eigendom

1. De (intellectuele) eigendomsrechten ten aanzien van de op grond van onderhavige overeenkomst door een derde partij te bouwen en beheren infrastructuur komen, na oplevering daarvan, toe aan SVR.

2. Vrijgevestigde zorgaanbieder verkrijgt (van SVR) om niet een niet-exclusief en niet overdraagbaar gebruiksrecht voor het gebruik van de SBG-informatie en de diensten van SBG, waaronder de database (zowel de infrastructuur als de database zelf), de technieken/methoden van dataverwerking en de bijbehorende materialen, BRaM en aanverwante applicatieprogrammatuur, alsmede met betrekking tot alle resultaten van de verwerking van de door Vrijgevestigde zorgaanbieder via ZorgTTP aangeleverde TTP-data.

3. Vrijgevestigde zorgaanbieder is door SBG gevrijwaard tegen elke rechtsvordering van een derde welke gebaseerd is op de bewering dat het gebruik van de procedures, documenten en handleidingen van SBG inbreuk maakt op de aan deze ander toebehorende intellectuele eigendomsrechten en knowhow, op voorwaarde dat Vrijgevestigde zorgaanbieder:

a. SBG onmiddellijk schriftelijk op de hoogte stelt van eventuele claims met betrekking tot een dergelijke inbreuk die bij Vrijgevestigde zorgaanbieder bekend is, en

b. de nodige volmachten, informatie en medewerking aan SBG verleent om zich, zo nodig in naam Vrijgevestigde zorgaanbieder, tegen deze rechtsvordering te weren.

4. Vrijgevestigde zorgaanbieder kan zich met betrekking tot de feitelijke uitvoering van het voorgaande artikellid, wenden tot SVR die alsdan indien Vrijgevestigde zorgaanbieder dat wenst, SBG zal benaderen.

Artikel 7. Vergoeding

1. Vrijgevestigde zorgaanbieder is tot 1 januari 2018 geen vergoeding verschuldigd aan SVR voor de diensten die SVR op grond van onderhavige overeenkomst verricht, omdat deze kosten worden voldaan door een derde partij.

2. Indien de in het voorgaande artikellid genoemde financiering per 1 januari 2018 niet wordt voortgezet, zal SVR in overleg treden met beroepsverenigingen en/of derden om te gaan of er een alternatieve financieringswijze mogelijk is.

3. De verplichtingen van SVR op grond van onderhavige overeenkomst vervallen wanneer er geen financiering is voor de uitvoering van haar werkzaamheden.

Artikel 8 – Aansprakelijkheid

1. SVR, alsook SBG, zijn niet verantwoordelijk voor enig nadelig gevolg of schade voor gebruik van de SBG-informatie of de Diensten van SBG door Vrijgevestigde zorgaanbieder.

2. SVR, alsook SBG, zijn niet aansprakelijk (behoudens door opzet of grove schuld) voor door Vrijgevestigde zorgaanbieder te lijden directe of indirecte schade (inclusief eventuele door bevoegde autoriteiten opgelegde boetes) veroorzaakt door:

a. gebruik van de SBG-informatie en de Diensten van SBG;

b. de ter beschikkingstelling van SBG-informatie aan andere zorgaanbieders, zorgverzekeraars of derden, en/of

c. het op enig moment niet beschikbaar zijn van SBG-informatie en diensten van SBG als gevolg van bijvoorbeeld technische storingen of onderhoudswerkzaamheden veroorzaakt door anderen of door overmacht.

Artikel 9 – Duur en beëindiging

1. Deze overeenkomst vangt aan op het moment van digitale ondertekening door de Vrijgevestigde Zorgaanbieder (door gebruik te maken van de daartoe op het klantenportaal van SVR opgenomen methodiek) en duurt tot 1 januari 2018. Partijen hebben de mogelijkheid voornoemde termijn te verlengen, afhankelijk van periodieke financiering. Partijen zullen dit alsdan nader schriftelijk overeenkomen.

2. Onderhavige overeenkomst eindigt van rechtswege indien:

a. de financiering zoals bedoelt in artikel x van deze overeenkomst, ten einde komt en Partijen geen alternatieve financieringswijze kunnen vinden;

b. indien SVR, ongeacht de reden daarvoor, niet meer is aangesloten bij SBG.

3. Ieder der Partijen is gerechtigd deze overeenkomst te beëindigen in de volgende uitzonderlijke gevallen:

a. indien de andere Partij wordt ontbonden of anderszins ophoudt te bestaan;

b. indien de andere Partij aantoonbaar tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze overeenkomst en/of uit (Europese) wet- en regelgeving, en die ernstige toerekenbare tekortkoming niet binnen een redelijke termijn is hersteld na een daartoe strekkende schriftelijke ingebrekestelling;

c. indien een Partij is in staat van faillissement wordt verklaard of surseance van betaling aanvraagt.

4. Beëindiging dient nadrukkelijk plaats te vinden door digitale opzegging bij SVR via het klantenportaal van SVR.

5. Bij de beëindiging van onderhavige overeenkomst zal het recht van Vrijgevestigde

zorgaanbieder om de SBG-informatie en de Diensten van SBG inclusief bijbehorende procedures, handleidingen en informatie te gebruiken, van rechtswege eindigen.

Vrijgevestigde zorgaanbieder staakt het gebruik van het voornoemde alsdan onmiddellijk.

Artikel 10. Wijzigingen

1. Wijzigingen in de “SBG Aansluitvoorwaarden SVR” welke gelden tussen SVR en SBG, kunnen wijzigingen meebrengen ten aanzien van onderhavige overeenkomst. Partijen zullen deze wijzigingen alsdan nader schriftelijk overeen komen.

2. Partijen hebben het recht deze overeenkomst in onderling overleg te wijzigen dan wel aan te vullen, indien gewijzigde (Europese) wet- en/of regelgeving daar aanleiding toe geven.

Artikel 11 – Geschillen, toepasselijk recht en forumkeuze

1. Op deze overeenkomst is Nederlands recht van toepassing.

2. Eventuele conflicten zullen Partijen eerst met elkaar bespreken waarbij beide Partijen zich inspannen om deze in goed overleg met elkaar op te lossen.  

3. Indien Partijen eventuele conflicten/geschillen naar aanleiding van deze overeenkomst niet in goed overleg met elkaar op kunnen lossen, zullen Partijen zich hiervoor wenden tot de bevoegde rechter te Rotterdam.

Artikel 12 – Algemene bepalingen

1. Vrijgevestigde zorgaanbieders kunnen toezichthouders aanwijzen die in het kader van de uitoefening van hun wettelijke taken gepaste toegang dienen te krijgen tot de administratie,

automatiseringssystemen, verwerkingsorganisatie en alle verdere relevante bescheiden in het kader van de uitvoering van deze overeenkomst, van SBG, InfinitCare en ZorgTTP. Zij wendt zich daartoe tot SVR, die het voornoemde met SBG alsdan zal regelen.

2. In alle gevallen waarin deze overeenkomst niet voorziet, beslissen Partijen in onderling overleg.

Bewerkersovereenkomst SVR – Vrijgevestigde Zorgaanbieder

Partijen:

1. De Stichting Vrijgevestigden ROM, gevestigd te Utrecht aan de Arthur van Schendelstraat 650 (3511 MJ), hierna te noemen: ‘SVR’,

2. De contracterende partij door registratie op het Klantenportaal van de SVR, hierna te noemen ‘Vrijgevestigde Zorgaanbieder’,

hierna ook gezamenlijk te noemen: ‘Partijen’,

Overwegende

a) dat SVR is opgericht om Vrijgevestigde Zorgaanbieders in de geestelijke gezondheidszorg te ondersteunen bij de aanlevering van de landelijke ROM gegevens van de generalistische Basis GGZ en gespecialiseerde GGZ aan de Stichting Benchmark GGZ (SBG);

c) dat het aanleveren van de voornoemde gegevens aan SBG voor Vrijgevestigde Zorgaanbieder een verplichting is op grond van de contracten tussen Vrijgevestigde Zorgaanbieder en zorgverzekeraars en/of het model-Kwaliteitsstatuut GGZ en dat er sancties staan op het niet nakomen van die verplichting;

d) dat Partijen in onderhavige overeenkomst afspraken wensen vast te leggen over de wijze waarop de Vrijgevestigde Xxxxxxxxxxxxxx opdracht geven aan SVR tot het bewerken van persoonsgegevens waarvoor de Vrijgevestigde Zorgaanbieder verantwoordelijke is in de zin van de Wet Bescherming Persoonsgegevens (hierna: WBP);

e) dat Partijen in deze overeenkomst overeenkomen dat het SVR is toegestaan deze persoonsgegevens door subbewerkers - meer in het bijzonder InfinitCare en SBG, dan wel enig andere door SVR daarvoor geselecteerde partij - te laten bewerken;

f) dat SVR (noch enig andere subbewerker) deze persoonsgegevens louter verwerkt in opdracht van de Vrijgevestigde Zorgaanbieder en niet voor eigen doeleinden. SVR is in dat kader aan te merken als bewerker in de zin van de WBP;

g) Partijen door deze bewerkersovereenkomst de afspraken ter zake de verwerking van persoonsgegevens in het kader van de aanleverstraat wensen vast te leggen.

verklaren te zijn overeengekomen:

Artikel 1. Definities

a) Aanvullende informatie: Informatie die niet onder de standaard SBG-informatie valt en die Vrijgevestigde Zorgaanbieders kunnen afnemen bij SBG.

b) AGB-data: onder meer de naam van de Vrijgevestigde zorgaanbieder, zijn of haar AGB-code, geboortedatum, geslacht, correspondentieadres, telefoonnummer, e-mailadres, kwalificaties, begindatum van de bevoegdheid en begindatum van de praktisering waarmee er

communicatie en een declaratieproces tussen Vrijgevestigde zorgaanbieder en zorgverzekeraars mogelijk is.

c) BRaM: De Benchmark Rapportage Module van SBG. BRaM biedt inzage in de resultaten van

de analyse van de TTP-data door SBG. BRaM kan door Gebruikers alleen geraadpleegd worden door middel van een geautoriseerd en aan BRaM gekoppeld VECOZO-certificaat. BRaM omvat eveneens het toepassingsprogramma (applicatieprogrammatuur) en de bijbehorende procedures, handleidingen en informatie.

d) Xxxxxxxxxx: Elke partij die gebruik maakt van de SBG-informatie en/of de Diensten van SBG.

e) Gegevensmakelaar: SBG, die voor alle (Vrijgevestigde) Zorgaanbieders (wettelijke verplichte) indicatoren en/of informatie uitlevert aan geautoriseerde partijen, waaronder het uitleveren van prestatie-indicatoren aan Zorginstituut Nederland.

f) Dataprotocol: Het protocol, van tijd tot tijd vastgesteld door het bestuur van SBG, behorende bij het verstrekken van Ruwe Data en/of overige informatie door Vrijgevestigde Zorgaanbieder aan ZorgTTP ten behoeve van het gebruik en doelstellingen van de SBG- informatie en de Diensten.

h) InfinitCare: door SVR gecontracteerde partij die ROM- en EPD gegevens van Vrijgevestigde zorgaanbieder verwerkt voor levering aan SBG.

j) Minimale Dataset: De beschrijving van het geheel van data, processen en de daarvoor noodzakelijke procedures die minimaal noodzakelijk zijn om de SBG-informatie te ontwikkelen. Vrijgevestigde Zorgaanbieder kan dit document raadplegen op het Klantenportaal.

k) Ruwe Data: Alle gespecificeerde data conform de Minimale Dataset die Vrijgevestigde Zorgaanbieder aanlevert bij ZorgTTP, welke ZorgTTP in opdracht van een door SVR te contracteren derde partij zal verwerken tot TTP-data.

m) TTP-data: Ruwe Data van Vrijgevestigde Zorgaanbieder, welke door ZorgTTP meervoudig is gepseudonimiseerd en in opdracht van een door SVR te contracteren derde partij aan SBG wordt verstrekt ten behoeve van het ontwikkelen van SBG-informatie.

n) Vertrouwelijke informatie: Alle vertrouwelijke en bedrijfseigen informatie over Vrijgevestigde Zorgaanbieder, SVR, Gebruikers, SBG, inclusief SBG-informatie, documenten en handleidingen van SBG die in het kader van onderhavige overeenkomst beschikbaar worden gesteld.

o) ZorgTTP: partij die er zorg voor draagt dat de ROM- en EPD gegevens van Vrijgevestigde zorgaanbieder meervoudig gepseudonimiseerd aan SBG worden toegezonden.

p) Voor zover begrippen in deze overeenkomst niet afzonderlijk zijn gedefinieerd, en voor zover die afkomstig zijn uit de WBP hebben die de betekenis die daaraan in deze wet is gegeven.

Artikel 2. Onderwerp van deze bewerkersovereenkomst

1. Vrijgevestigde Zorgaanbieder geeft gedurende de duur van deze overeenkomst de opdracht aan SVR om Ruwe Data, alsmede AGB-data, zodanig te (laten) bewerken om de aanlevering van TTP-data via ZorgTTP aan SBG mogelijk te maken, ten behoeve van de ontwikkeling van SBG-informatie en aan zorgverzekeraars gevraagde informatie te kunnen (laten) verstrekken.

2. Het is SVR ter uitvoering van de in het voorgaande artikellid genoemde opdracht toegestaan één of meer partijen te contracteren ten behoeve van de bewerking van deze persoonsgegevens.

3. De Vrijgevestigde Zorgaanbieder kwalificeert als Verantwoordelijke in de zin van de WBP, SVR kwalificeert als bewerker (en de door haar als derden voor bewerking te contracteren of gecontracteerde partijen kwalificeren als subbewerkers).

Artikel 3. Kernverplichtingen SVR

1. SVR garandeert ten behoeve van de Vrijgevestigde Zorgaanbieder slechts Ruwe Data en AGB- data te verwerken voor zover dit noodzakelijk is voor de opdracht als omschreven in artikel 2. Overige verwerkingen worden uitsluitend uitgevoerd in expliciete opdracht van de Vrijgevestigde Zorgaanbieder. In geen geval zal SVR persoonsgegevens verwerken voor eigen doeleinden.

2. SVR zal alle redelijke instructies van de Vrijgevestigde Zorgaanbieder in verband met de verwerking van persoonsgegevens opvolgen voor zover die passen in een gestandaardiseerde methodiek om tot de SBG-informatie te komen en deze ook opleggen aan onderaannemers.

3. SVR zal de persoonsgegevens aantoonbaar, op behoorlijke en zorgvuldige wijze en in overeenstemming met de op hem als bewerker op grond van de WBP en overige wetgeving rustende verplichtingen (laten) verwerken.

4. SVR zal geen persoonsgegevens verwerken of laten verwerken door hemzelf of door derden in landen buiten de Europese Economische Ruimte (EER) zonder een passend beschermingsniveau.

5. Onverminderd enige andere contractuele geheimhoudingsverplichting die op SVR rust, garandeert SVR dat hij alle persoonsgegevens als strikt vertrouwelijk zal behandelen en dat hij al zijn werknemers, vertegenwoordigers en/of onderaannemers die betrokken zij n bij de verwerking van persoonsgegeven van de vertrouwelijke aard van dergelijke persoonsgegevens op de hoogte zal stellen.

6. SVR zal de persoonsgegevens betreffende de Vrijgevestigde Zorgaanbieder strikt gescheiden (laten) houden van de persoonsgegevens die hij voor zichzelf of namens derde partijen verwerkt.

Artikel 4 – Beveiligen persoonsgegevens en controle

1. Onverminderd de beveiligingsnormen die Partijen op mogelijk andere wijze zijn overeengekomen, zal SVR passende technische en organisatorische beveiligingsmaatregelen nemen of laten nemen, die gezien de huidige stand der techniek en de daarmee gemoeide kosten overeenstemmen met de aard van de te verwerken persoonsgegevens, ter bescherming van de persoonsgegevens tegen verlies, onbevoegde kennisname, verminking of onrechtmatige verwerking, alsmede om de (tijdige) beschikbaarheid van de gegevens te garanderen. Deze maatregelen omvatten in ieder geval:

(a) maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de persoonsgegevens voor de doeleinden die zijn uiteengezet in de considerans en artikel 2;

(b) maatregelen waarbij SVR zijn medewerkers, onderaannemers uitsluitend toegang geeft tot persoonsgegevens via op naam gestelde accounts, waarbij het gebruik van die accounts adequaat gelogd wordt en waarbij de betreffende accounts alleen toegang geven tot die persoonsgegevens waartoe de toegang voor de betreffende persoon noodzakelijk is ;

(c) maatregelen om de persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag verwerking, toegang of openbaarmaking;

(d) maatregelen om zwakke plekken te identificeren ten aanzien van de verwerking van persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan Opdrachtgever;

(e) maatregelen om de tijdige beschikbaarheid van de gegevens te garanderen.

2. SVR en haar eventuele onderaannemers hebben te allen tijde een passend, geschreven beveiligingsbeleid conform ISO27001 geïmplementeerd voor de verwerking van persoonsgegevens, waarin in ieder geval de in lid 1 van dit artikel genoemde maatregelen uiteen zijn gezet.

3. De Vrijgevestigde Zorgaanbieder heeft het recht toe te (laten) zien op de naleving van de hiervoor onder 4.1 en 4.2 genoemde maatregelen. SVR stelt de Vrijgevestigde Zorgaanbieder, indien deze daarom verzoekt, hiertoe in elk geval eenmaal per jaar in de gelegenheid op een door Partijen in gezamenlijk overleg nader te bepalen tijdstip en verder indien de Vrijgevestigde Xxxxxxxxxxxxx daar aanleiding toe ziet naar aanleiding van (vermoeden van) informatie- of privacy-incidenten, zulks te (laten) controleren. SVR zal eventuele door de Vrijgevestigde Zorgaanbieder naar aanleiding van een dergelijke controle in redelijkheid gegeven instructies tot aanpassing van het beveiligingsbeleid binnen een redelijke termijn opvolgen.

4. SVR zal in alle redelijkheid en op eigen kosten aan het onder 4.3 hiervoor bedoelde onderzoek haar medewerking verlenen.

5. Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging frequente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. SVR zal daarom de maatregelen zoals geïmplementeerd op basis van dit artikel 4 voortdurend evalueren en verscherpen, aanvullen of verbeteren om te blijven voldoen aan zijn verplichtingen onder dit artikel 4.

Artikel 5. Monitoring, informatieplichten en incidentenmanagement

1. SVR zal actief monitoren op inbreuken op de beveiligingsmaatregelen en over de resultaten van de monitoring in overeenstemming met dit artikel 5 rapporteren aan de Vrijgevestigde Zorgaanbieder.

2. Zodra zich een incident met betrekking tot de verwerking van de persoonsgegevens voordoet, heeft voorgedaan of zou kunnen voordoen, is SVR verplicht de Vrijgevestigde Zorgaanbieder daarvan onverwijld in kennis te stellen en daarbij alle relevante informatie te verstrekken omtrent de aard van het incident, het risico dat gegevens onrechtmatig verwerkt zijn of kunnen worden en de maatregelen die getroffen zijn of zullen worden om het incident op te lossen dan wel de gevolgen/schade zoveel mogelijk te beperken.

3. SVR is, onverminderd de overige verplichtingen uit dit artikel, verplicht om de eventuele negatieve gevolgen die voortvloeien uit een incident zo snel mogelijk ongedaan te maken dan wel de verdere gevolgen te minimaliseren.

4. SVR zal de Vrijgevestigde Zorgaanbieder te allen tijde haar medewerking verlenen en zal de instructies van de Vrijgevestigde Xxxxxxxxxxxxx opvolgen, met als doel deze in staat te stellen een deugdelijk onderzoek te verrichten naar het incident, een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het incident, waaronder begrepen het informeren van de AP en/of de betrokkene zoals bepaald in artikel 5.8.

5. Onder “incident” wordt in elk geval het volgende verstaan:

(a) een klacht of (informatie)verzoek van een natuurlijk persoon met betrekking tot de verwerking van persoonsgegevens door SVR;

(b) een onderzoek naar of beslaglegging door overheidsfunctionarissen op de persoonsgegevens of een vermoeden dat dit gaat plaatsvinden;

(c) iedere ongeautoriseerde toegang, verwerking, verwijdering, verminking, verlies of enige vorm van onrechtmatige verwerking van de persoonsgegevens;

(d) een inbreuk op de beveiliging en/of de vertrouwelijkheid, zoals uiteengezet in artikel 3 en 4 van deze Bewerkersovereenkomst, althans ieder ander incident, die/dat leidt (of mogelijk leidt) tot onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, onbevoegde openbaarmaking van – of toegang tot – de persoonsgegevens, of enige aanwijzing dat een dergelijke inbreuk zal plaatsvinden of heeft plaatsgevonden.

6. SVR zal steeds geschreven procedures voorhanden hebben die hem in staat stellen om De Vrijgevestigde Zorgaanbieder van een onmiddellijke reactie over een incident te voorzien, en om effectief samen te werken om het incident af te handelen en zal de Vrijgevestigde Zorgaanbieder voorzien van een exemplaar van dergelijke procedures indien deze daarom verzoekt.

7. Meldingen die worden gedaan op grond van dit artikel worden gericht aan de Vrijgevestigde Zorgaanbieder.

8. SVR zal, indien naar haar oordeel noodzakelijk, betrokkenen en andere derden informeren over incidenten. Het is SVR niet toegestaan informatie te verstrekken over incidenten aan

betrokkenen of andere derde partijen, behoudens voor zover de Vrijgevestigde Zorgaanbieder daartoe wettelijk verplicht is.

9. In concrete gevallen, en altijd na overleg met de Vrijgevestigde Zorgaanbieder, kan het

mogelijk zijn dat SVR de eerste melding van een incident aan de Autoriteit Persoonsgegevens doet. Over deze melding en over de voortgang daarvan, houdt SVR de Vrijgevestigde Zorgaanbieder voortdurend op te hoogte.

Artikel 6. Gebruik onderaannemers

1. Het is SVR toegestaan alle bewerkersactiviteiten in het kader van deze overeenkomst uit te besteden aan een derde partij. In eerste instantie zullen deze derde partijen zijn: SBG en Infinitcare.

2. SVR zal aan de door hem ingeschakelde derde dezelfde of strengere verplichtingen opleggen als voor hemzelf uit deze Bewerkersovereenkomst en de wet voortvloeien en ziet toe op de naleving daarvan door de derde. De desbetreffende afspraken met de derde zullen schriftelijk worden vastgelegd. SVR houdt deze ter inzage voor de Vrijgevestigde Zorgaanbieder.

3. Niettegenstaande de in deze overeenkomst door de Vrijgevestigde Zorgaanbieder verstrekte toestemming tot het inschakelen van een derde partij blijft SVR volledig aansprakelijk jegens de Vrijgevestigde Zorgaanbieder voor de gevolgen van het uitbesteden van werkzaamheden aan een derde. De toestemming van Opdrachtgever voor het uitbesteden van

werkzaamheden aan een derde partij laat onverlet dat voor de inzet van sub-bewerkers in een land buiten de Europese Economische Ruimte zonder een passend beschermingsniveau toestemming vereist is in overeenstemming met artikel 3.5 van deze Bewerkersovereenkomst.

Artikel 7. Aansprakelijkheid

1. Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen. Er geldt voor tekortkomingen die voortvloeien uit deze Bewerkersovereenkomst geen beperking van aansprakelijkheid

2. SVR vrijwaart Vrijgevestigde Zorgaanbieder en stelt de Vrijgevestigde Zorgaanbieder schadeloos voor alle claims, acties, aanspraken van derden en voor verliezen, schade of kosten, waaronder boetes van de Autoriteit Persoonsgegevens die de Vrijgevestigde Zorgaanbieder maakt of lijdt en die rechtstreeks of indirect voortvloeien uit of tot stand komen in verband met een tekortkoming door SVR en/of diens onderaannemers in de nakoming van zijn verplichtingen onder deze Bewerkersovereenkomst en/of enige schending door SVR en/of diens onderaannemers van de van toepassing zijnde wetgeving op het gebied van verwerking van persoonsgegevens in verband met de Basisovereenkomst SVR – Vrijgevestigde zorgaanbieder, waaronder in elk geval begrepen de Wbp en de Wgbo.

Artikel 8. Duur en beëindiging

1. Deze Bewerkersovereenkomst gaat in op de datum van (digitale) ondertekening door de Vrijgevestigde Zorgaanbieder via het klantenportaal van SVR en geldt tot digitale wederopzegging via hetzelfde klantenportaal van SVR.

2. Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Bewerkersovereenkomst voort te duren, blijven na beëindiging van de Bewerkersovereenkomst gelden. Tot deze bepalingen behoren onder meer die welke voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid en toepasselijk recht.

3. Ieder der partijen is gerechtigd, onverminderd hetgeen daartoe bepaald is in de Hoofdovereenkomst, de uitvoering van deze Bewerkersovereenkomst op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang te ontbinden, indien:

(a) de andere partij wordt ontbonden of anderszins ophoudt te bestaan;

(b) de andere partij aantoonbaar tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze Bewerkersovereenkomst en die ernstige toerekenbare tekortkoming niet binnen 30 dagen is hersteld na een daartoe strekkende schriftelijke ingebrekestelling;

4. De Vrijgevestigde Zorgaanbieder is gerechtigd deze Bewerkersovereenkomst per direct te ontbinden indien SVR te kennen geeft niet (langer) te kunnen voldoen aan de betrouwbaarheidseisen die op grond van ontwikkelingen in de wet en/of de rechtspraak aan de verwerking van de persoonsgegevens worden gesteld. Artikel 9.2 is van overeenkomstige toepassing.

Artikel 9. Bewaartermijnen, teruggave en vernietiging

1. SVR bewaart de persoonsgegevens niet langer dan strikt noodzakelijk en in geen geval langer dan tot het einde van deze Bewerkersovereenkomst of, maximaal 3 jaar.

2. Bij beëindiging van de Bewerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van de Vrijgevestigde Zorgaanbieder zal SVR, kosteloos, de persoonsgegevens vernietigen. Op verzoek verstrekt SVR bewijs van het feit dat de gegevens vernietigd of verwijderd zijn. Indien teruggave, vernietiging of verwijdering niet mogelijk is, stelt SVR de Vrijgevestigde Zorgaanbieder daarvan onmiddellijk op de hoogte. In dat geval garandeert SVR dat hij de persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.

3. Bij het einde van de Bewerkersovereenkomst zal SVR alle derden die betrokken zijn bij het verwerken van persoonsgegevens op de hoogte stellen van de beëindiging van de Bewerkersovereenkomst. De verplichtingen uit artikel 9.2 zijn van overeenkomstige toepassing op de deze derden. SVR zal waarborgen dat alle betrokken derden hieraan uitvoering zullen geven.

Artikel 10. Slotbepalingen

1. De overwegingen maken onderdeel uit van deze Bewerkersovereenkomst.

2. Op deze Bewerkersovereenkomst is louter Nederlands recht van toepassing.

3. Eventuele conflicten zullen eerst met elkaar besproken worden waarbij beide partijen zich inspannen om deze in goed overleg met elkaar op te lossen.

4. Geschillen over of in verband met deze Bewerkersovereenkomst worden uitsluitend voorgelegd aan de bevoegde rechter in het arrondissement van SVR.

5. In alle gevallen waarin deze Bewerkersovereenkomst niet voorziet beslissen partijen in onderling overleg.

Geachte Mevr. Reijnders,

We bevestigen u dat uw registratie bij SVR definitief is geworden. De volgende contracten tussen u en SVR zijn van toepassing:

• Ovk SVR - Vrijgevestigden x00000000-01

• Ovk SVR - Vrijgevestigden Bewerkersovk x00000000-01

De contracten kunt u downloaden op xxx.xxxxxxxxxxxxxx.xx. U bent als volgt bij ons geregistreerd:

Mevr. M.A. Reijnders

Persoonlijke AGB-code: 94004890

Adres: Xx. Xxxxxxxxxxxxxxxx 00, 0000XX xx Xxxxx

Met vriendelijke groet, SVR

Document Metadata

Table of Contents

Basisovereenkomst SVR – Vrijgevestigde zorgaanbieder Versie 20160801-01

Document Metadata